【全学ネットワークシステム】libsshの認証を回避する脆弱性について
1. 概要
libssh(※)に認証を回避可能な脆弱性があることが確認されました。
本脆弱性を悪用された場合、sshの認証パスワードを入力することなくログインされてしまい、データを盗まれたり、サービス運用妨害(DoS)を受けるといった被害や、脆弱性を利用して攻撃を仕掛けられる恐れがあります。libsshを利用している機器、またはソフトウェアをご利用の方は、速やかにアップデートを行うようにしてください。
ただし、OpenSSHは別製品ですので、OpenSSHは今回の対象ではありません。
(※) libsshとは、リモートアクセスプロトコルで、2台のコンピュータ間を暗号化し、データ通信を安全に利用できるようにするソフトウェアです。主にUNIX系OSで動作するコンピュータのサーバや通信機器やアプライアンス製品へシェルログインして利用するために用いられるものです。
【対象となる脆弱性情報】
CVE-2018-10933
https://nvd.nist.gov/vuln/detail/CVE-2018-10933
libssh開発元
https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/
2. 対象となる方
システムやサーバの管理者/運用者
3. 対象となる製品
UNIX系のOSを搭載したサーバや製品などでlibsshを利用している方
・libsshを利用しているかどうか不明な方は、各製品メーカのサポートページや製品仕様などにてご確認ください。
・OSや製品により、初期設定でlibsshが有効となっている可能性もありますので、利用有無に関わらず機器の設定などを確認することをお勧めします。
4. 対象のバージョン
libssh 0.6 以降の全バージョン
5. 対処方法
該当バージョンをご利用の場合には、速やかなアップデートをお願いします。バージョンアップ方法の詳細については、各メーカやディストリビュータのサポートページなどでご確認ください。
6. 本件に関する問い合わせ先
全学ネットワークシステム側では利用有無の確認方法やバージョンアップに対する個別サポートができかねますので、LinuxやUNIXのディストリビュータの情報を確認する、製品メーカのサポートページを確認する、保守契約がある場合は、保守サポート契約窓口等へお問い合わせをお願いします。